Amazon Linux AMI:postgresql8 (ALAS-2015-556)
critical Nessus 插件 ID 84592
语言:
简介
远程 Amazon Linux AMI 主机缺少安全更新。描述
在连接处理中发现双重释放漏洞。未经认证的攻击者可利用此缺陷,通过与触发认证超时大约同时断开连接的方式使 PostgreSQL 后端崩溃。(CVE-2015-3165)已发现,PostgreSQL 未正确检查特定标准库函数的返回值。如果系统处于可导致标准库函数失败的状态(例如内存耗尽),经过认证的用户可以利用此缺陷泄露部分内存内容,或致使 GSSAPI 认证使用错误的 keytab 文件。(CVE-2015-3166)
已发现,pgcrypto 模块在使用错误密钥解密特定数据时可返回不同的错误消息。
这可帮助经过认证的用户发动可能的加密攻击,尽管没有当前已知的适用攻击。
(CVE-2015-3167)
解决方案
请运行“yum update postgresql8”更新系统。另见
插件详情
严重性: Critical
ID: 84592
文件名: ala_ALAS-2015-556.nasl
版本: 2.6
类型: local
代理: unix
发布时间: 2015/7/8
最近更新时间: 2019/11/25
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 5.9
CVSS v2
风险因素: High
基本分数: 7.5
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS v3
风险因素: Critical
基本分数: 9.8
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞信息
CPE: p-cpe:/a:amazon:linux:postgresql8, p-cpe:/a:amazon:linux:postgresql8-contrib, p-cpe:/a:amazon:linux:postgresql8-debuginfo, p-cpe:/a:amazon:linux:postgresql8-devel, p-cpe:/a:amazon:linux:postgresql8-docs, p-cpe:/a:amazon:linux:postgresql8-libs, p-cpe:/a:amazon:linux:postgresql8-plperl, p-cpe:/a:amazon:linux:postgresql8-plpython, p-cpe:/a:amazon:linux:postgresql8-pltcl, p-cpe:/a:amazon:linux:postgresql8-server, p-cpe:/a:amazon:linux:postgresql8-test, cpe:/o:amazon:linux
必需的 KB 项: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
补丁发布日期: 2015/7/7
漏洞发布日期: 2015/5/28